建立 Microsoft Defender for Cloud Apps會話原則
Microsoft Defender for Cloud Apps 工作階段原則透過即時的工作階段層級監視,提供雲端應用程式的細微可見度。 根據您為用戶會話設定的原則,使用會話原則來採取各種動作。
相對於完全允許或封鎖存取的存 取原則,會話原則允許在監視會話時存取。 將條件式存取應用程控新增至會話原則,以限制特定會話活動。
例如,您可能想要允許使用者從非受控裝置或從特定位置存取應用程式。 不過,您可能想要限制在這些會話期間下載敏感性檔案,或要求特定檔在結束應用程式時受到保護,以避免下載、上傳或複製。
針對主應用程式建立的原則不會連線到任何相關的資源應用程式。 例如,您為 Teams、Exchange 或 Gmail 建立的存取原則不會連線到 SharePoint、OneDrive 或 Google 雲端硬碟。 如果您除了主應用程式之外,還需要資源應用程式的原則,請建立個別的原則。
可以套用的原則數目沒有限制。
必要條件
開始之前,請確定您有下列必要條件:
Defender for Cloud Apps 授權,作為獨立授權或另一個授權的一部分
Microsoft Entra ID P1 的授權,作為獨立授權或另一個授權的一部分。
如果您使用非Microsoft IdP,則身分識別提供者所需的授權 (IdP) 解決方案。
已上線至條件式存取應用程控的相關應用程式。 Microsoft Entra ID 應用程式會自動上線,而非Microsoft IdP 應用程式則必須手動上線。
如果您使用非Microsoft IdP,請確定您也已將IdP設定為使用 Microsoft Defender for Cloud Apps。 如需詳細資訊,請參閱:
若要讓會話原則能夠運作,您也必須具有 Microsoft Entra ID 條件式存取原則,以建立控制流量的許可權。
範例:建立 Microsoft Entra ID 條件式存取原則以搭配 Defender for Cloud Apps
此程式提供如何建立條件式存取原則以與 Defender for Cloud Apps 搭配使用的高階範例。
在 [Microsoft Entra ID 條件式存取] 中,選取 [建立新原則]。
輸入您原則有意義的名稱,然後選取 [ 會話 ] 底下的連結,將控件新增至原則。
在 [ 工作階段] 區域中,選取 [ 使用條件式存取應用程控]。
在 [ 使用者] 區域中,選取 [僅包含所有使用者] 或 [特定使用者和群組]。
在 [ 條件 和 用戶端應用程式] 區域中,選取您想要包含在原則中的條件和用戶端應用程式。
將 [ 僅限報表 ] 切換為 [ 開啟],然後選取 [ 建立],以儲存原則。
Microsoft Entra ID 支援瀏覽器型和非瀏覽器型原則。 建議您建立這兩種類型,以提高安全性涵蓋範圍。
重複此程式以建立以非中斷者為基礎的條件式存取原則。 在 [ 用戶端應用程式] 區域中,將 [ 設定] 選項 切換為 [ 是]。 然後,在 [ 新式驗證客戶端] 下,清除 [瀏覽器] 選項。 讓所有其他預設選取專案保持選取狀態。
如需詳細資訊,請 參閱條件式存取原則 和 建置條件式存取原則。
建立 Defender for Cloud Apps 會話原則
此程式描述如何在 Defender for Cloud Apps 中建立新的會話原則。
在 Microsoft Defender 全面偵測回應 中,選取 [雲端應用程式原則>>原則管理>條件式存取] 索引標籤。
選 取 [建立原則>會話原則]。 例如:
![[建立條件式存取原則] 頁面的螢幕快照。](media/create-policy-from-conditional-access-tab.png)
在 [ 建立會話原則 ] 頁面上,從 [原則範本] 下拉式清單中選取範 本 ,或手動輸入所有詳細數據來開始。
輸入您原則的下列基本資訊。 如果您使用範本,大部分的內容都已填入。
名稱 描述 原則名稱 您原則的有意義名稱,例如 在營銷使用者的 Box 中封鎖下載敏感性檔 原則重要性 選取您要套用至原則的嚴重性。 類別 選取您要套用的類別。 描述 為您的原則輸入選擇性且有意義的描述,以協助您的小組瞭解其用途。 會話控件類型 選取下列其中一個選項:
- 僅監視。 只會監視用戶活動,併為您選取的應用程式建立 僅監視 原則。
- 封鎖活動。 封鎖 活動類型 篩選器所定義的特定活動。 來自所選應用程式的所有活動都會在活動記錄中受到監視和報告。
- 使用 檢查) 來控制檔案下載 (。 監視檔案下載,並可與其他動作結合,例如封鎖或保護下載。
- 使用 檢查) 來控制檔案上傳 (。 監視檔案上傳,並可與其他動作結合,例如封鎖或保護上傳。
如需詳細資訊,請參閱 會話原則的支持活動。在 符合下列所有區域的活動 中,選取要套用至原則的其他活動篩選條件。 篩選包括下列選項:
名稱 描述 活動類型 選取您要套用的活動類型,例如:
-印刷
- 剪貼簿動作,例如剪下、複製、貼上
- 在支援的應用程式中傳送、共用、取消共用或編輯專案。
例如,在您的條件中使用 傳送項目 活動來攔截嘗試在 Teams 聊天或 Slack 頻道中傳送資訊的使用者,如果訊息包含密碼或其他認證等敏感性資訊,則封鎖訊息。應用程式 篩選要包含在原則中的特定應用程式。 選取應用程式,方法是先針對非Microsoft IdP 應用程式選取其是否使用自動 Azure AD 上線、Microsoft Entra ID 應用程式或手動上線。 然後,從清單中選取您想要包含在篩選中的應用程式。
如果您的非Microsoft清單中遺漏 IdP 應用程式,請確定您已將它完全上線。 如需詳細資訊,請參閱:
- 將非Microsoft的IdP類別目錄應用程式上線以進行條件式存取應用程控。
- 將非Microsoft的IdP自訂應用程式上線以進行條件式存取應用程控
如果您選擇不使用應用程式篩選,原則會套用至 [設定雲端應用程式連線>應用程式>] [條件式存取應用程控應用程式] 頁面上>標示為 [已啟用] 的所有應用程式。
注意:您可能會看到已上線的應用程式與需要手動上線的應用程式之間有一些重疊。 如果您的篩選器在應用程式之間發生衝突,手動上線的應用程式會優先。裝置 篩選裝置標籤,例如特定裝置管理方法或裝置類型,例如電腦、行動裝置或Tablet。 IP 位址 篩選每個IP位址,或使用先前指派的IP位址標籤。 位置 依地理位置篩選。 缺少明確定義的位置可能會識別出有風險的活動。 已註冊的 ISP 篩選來自特定 ISP 的活動。 使用者 篩選特定用戶或使用者群組。 使用者代理字串 篩選特定使用者代理程式字串。 使用者代理程式標籤 篩選使用者代理程式標籤,例如過期的瀏覽器或作業系統。 例如:
選取 [編輯並預覽結果 ],以取得隨您目前選取專案傳回的活動類型預覽。
設定適用於任何特定會話控件類型的額外選項。
例如,如果您選取 [封鎖活動],請選取 [ 使用內容檢查 來檢查活動內容],然後視需要設定您的設定。 在此情況下,您可能會想要檢查包含特定表達式的文字,例如社會安全號碼。
如果您選取 [ 控制檔案下載 (並檢查) ] 或 [ 使用檢查) 控制檔案上傳 (],請設定 符合下列所有設定的檔案 。
設定下列其中一個檔案篩選:
名稱 描述 敏感度標籤 如果您也使用 Microsoft Purview,而且您的數據受到其敏感度標籤的保護,請依 Microsoft Purview 資訊保護 敏感度標籤進行篩選。 檔案名稱 篩選特定檔案。 Extension 篩選特定檔類型,例如封鎖所有 .xls 檔案的下載。 檔案大小 (MB) 篩選特定檔案大小,例如大型或小型檔案。 -
- 選取是否要將原則套用至所有檔案,或僅套用至指定資料夾中的檔案
- 選取要使用的檢查方法,例如數據分類服務或惡意代碼。 如需詳細資訊, 請參閱Microsoft數據分類服務整合。
- 為原則設定更詳細的選項,例如以指紋或可訓練分類器等元素為基礎的案例。
-
名稱 描述 稽核 監視所有活動。 選取即可根據您設定的原則篩選明確允許下載。 封鎖 封鎖檔案下載並監視所有活動。 選取即可根據您設定的原則篩選明確封鎖下載。
封鎖原則也可讓您選取以電子郵件通知使用者,以及自定義封鎖訊息。Protect 將敏感度標籤套用至下載,並監視所有活動。 只有在您選取 [ 控制檔案下載] (並檢查) 時才可使用。
如果您使用 Microsoft Purview 資訊保護,您也可以選取將敏感度標籤套用至相符的檔案、將自訂許可權套用至使用者下載檔,或封鎖特定檔案的下載。
如果您有 Microsoft Entra ID 條件式存取原則,您也可以選取以要求在預覽) (進行逐步驗證。選擇性地選取 [ 永遠套用選取的動作],即使您的原則需要無法掃描數據 也一樣。
在 [ 警示] 區域中,視需要設定下列任何動作:
- 針對每個符合原則嚴重性的事件建立警示
- 以電子郵件傳送警示
- 每個原則的每日警示限制
- 將警示傳送至 Power Automate
完成後,請選取 [建立]。
測試您的原則
建立工作階段原則之後,請重新向原則中設定的每個應用程式進行驗證,並測試您在原則中設定的案例來進行測試。
我們建議您:
- 在重新驗證您的應用程式之前,先註銷所有現有的會話。
- 從受控和非受控裝置登入行動和桌面應用程式,以確保活動會完全擷取在活動記錄中。
請務必以符合您原則的使用者登入。
若要在您的應用程式中測試您的原則:
檢查鎖定
圖示是否出現在您的瀏覽器中,或您是在 Microsoft Edge 以外的瀏覽器中工作,請檢查您的應用程式 URL 是否包含 .mcas後綴。 如需詳細資訊,請參閱使用 商務用 Microsoft Edge (Preview) 的瀏覽器內保護。瀏覽應用程式中屬於使用者工作程式一部分的所有頁面,並確認頁面轉譯正確。
執行下載和上傳檔案等常見動作,確認應用程式的行為和功能不會受到負面影響。
如果您使用自定義、非Microsoft IdP 應用程式,請檢查您 為應用程式手動新增的每個網域。
如果您遇到錯誤或問題,請使用系統管理工具列來收集資源,例如 .har 檔案和錄製的會話,以提出支援票證。
若要檢查 Microsoft Defender 全面偵測回應 中的更新:
在 Microsoft Defender 入口網站的 [雲端應用程式] 底下,移至 [原則],然後選取 [原則管理]。
選取您已建立的原則以檢視原則報告。 會話原則相符項目應該很快就會出現。
原則報告會顯示哪些登入已重新導向至會話控制 Microsoft Defender for Cloud Apps,以及任何其他動作,例如從受監視的會話下載或封鎖哪些檔案。
關閉使用者通知設定
根據預設,使用者會在其會話受到監視時收到通知。 如果您希望使用者未收到通知,或自定義通知訊息,請設定通知設定。
在 Microsoft Defender 全面偵測回應 中,選取 [設定雲端>應用程式>條件式存取應用程控>用戶監視]。
進行下列其中一個選取專案:
- 清除 [ 通知使用者其活動正在受到監視 ] 選項
- 保留選取範圍,然後選取以使用預設訊息或自定義您的訊息。
選取 [預覽] 連結,以在新的瀏覽器索引標籤中檢視已設定訊息的範例。
匯出雲端探索記錄
條件式存取應用程控會記錄透過它路由傳送之每個用戶會話的流量記錄。 流量記錄包括時間、IP、使用者代理程式、流覽的URL,以及上傳和下載的位元組數目。 系統會分析這些記錄,並將連續報告 Defender for Cloud Apps 條件式存取應用程控新增至雲端探索儀錶板中的雲端探索報告清單。
若要從雲端探索儀錶板導出雲端探索記錄:
在 Microsoft Defender 入口網站中,選取 [設定]。 然後選擇 [雲端應用程式]。 在 [ 連線的應用程式] 底下,選 取 [條件式存取應用程控]。
在數據表上方,選取 [匯出] 按鈕。 例如:
選取報表的範圍,然後選取 [ 導出]。 此程式可能需要一些時間。
若要在報表就緒后下載導出的記錄檔,請在 Microsoft Defender 入口網站中移至 [報表 ->雲端應用程式],然後移至 [導出的報表]。
在數據表中,從 條件式存取應用程控流量記錄 清單中選取相關報告,然後選取 [ 下載]。 例如:
會話原則支持的活動
下列各節提供 Defender for Cloud Apps 會話原則所支援之每個活動的詳細數據。
僅監視
僅監視會話控件類型只會監視登入活動。
若要監視其他活動,請選取其中一個其他會話控件類型,並使用 稽核動作。
若要監視下載和上傳以外的活動,您的監視原則中每個活動原則至少必須有一個 區塊 。
封鎖所有下載
當 [控制檔案下載] (檢查) 設定為 會話控件類型,並將 [封鎖 ] 設定為 動作時,條件式存取應用程控會防止使用者根據原則檔案篩選器下載檔案。
當使用者起始下載時,會顯示使用者的 下載限制 訊息,並以文本檔取代下載的檔案。 視需要為您的組織設定文本檔的訊息給使用者。
需要逐步驗證
當會話控件類型設定為 [封鎖活動]、[使用檢查) 控制檔案下載 (] 或 [使用檢查) 控制檔案上傳 (時,即可使用 [需要逐步執行驗證] 動作。
選取此動作時,Defender for Cloud Apps 在每次發生選取的活動時,將會話重新導向至 Microsoft Entra 原則重新評估的條件式存取。
使用此選項可根據 Microsoft Entra ID 中已設定的驗證內容,在會話期間檢查多重要素驗證和裝置合規性等宣告。
封鎖特定活動
當 [封鎖活動 ] 設定為 會話控件類型時,請選取要在特定應用程式中封鎖的特定活動。
來自已設定應用程式的所有活動都會在 雲端應用程式 > 活動記錄中受到監視和報告。
若要封鎖特定活動,請進一步選取 [封鎖] 動作 ,然後選取您要封鎖的活動。
若要針對特定活動引發警示,請選取 [稽核] 動作並設定您的警示設定。
例如,您可能想要封鎖下列活動:
已傳送Teams訊息。 封鎖使用者從 Microsoft Teams 傳送訊息,或封鎖包含特定內容的 Teams 訊息。
列印。 封鎖所有列印動作。
複製。 封鎖所有複製到剪貼簿動作,或僅封鎖特定內容的複製。
在下載時保護檔案
選取 [封鎖活動會話] 控制項類型 ,以封鎖您使用 [活動類型] 篩選定義的特定活動。
來自已設定應用程式的所有活動都會在 雲端應用程式 > 活動記錄中受到監視和報告。
選取 [保護] 動作 ,以根據原則的檔案篩選來保護具有敏感度標籤和其他保護的檔案。
敏感度標籤是在 Microsoft Purview 中設定,而且必須設定為套用加密,才能在 Defender for Cloud Apps 工作階段原則中顯示為選項。
當您使用特定標籤設定會話原則,且使用者下載符合原則準則的檔案時,標籤和任何對應的保護和許可權都會套用在檔案上。
當下載的檔案受到保護時,原始檔案會維持在雲端應用程式中的狀態。 嘗試存取下載檔的用戶必須符合套用保護所決定的許可權需求。
Defender for Cloud Apps 目前支援從 Microsoft Purview 資訊保護 套用下列檔案類型的敏感度標籤:
- Word:d ocm、docx、dotm、dotx
- Excel:xlam、xlsm、xlsx、xltx
- PowerPoint:potm、potx、ppsx、ppsm、pptm、pptx
注意事項
PDF 檔案必須以統一標籤示。
[保護] 選項不支援在會話原則中覆寫具有現有卷標的檔案。
保護敏感性檔案的上傳
選取 [ 控制檔案上傳] (檢查) 會話控件類型 ,以防止使用者根據原則的檔案篩選器上傳檔案。
如果要上傳的檔案具有敏感數據,而且沒有正確的標籤,則會封鎖檔案上傳。
例如,建立一個原則來掃描檔案的內容,以判斷它是否包含敏感性內容相符專案,例如社會安全號碼。 如果其中包含敏感性內容,且未標示 Microsoft Purview 資訊保護 機密標籤,則會封鎖檔案上傳。
在上傳或下載時封鎖惡意代碼
選 取 [控制檔案上傳] (與檢查) 或 [控制檔案下載] (,並將檢查) 作為 會話控件類型 ,並選取 [ 惡意代碼偵 測] 作為 檢查方法 ,以防止使用者上傳或下載具有惡意代碼的檔案。 使用Microsoft威脅情報引擎掃描檔案是否有惡意代碼。
篩選潛在惡意代碼偵測到的專案,以在雲端應用程式>活動記錄中檢視任何標示為潛在惡意代碼的檔案。 如需詳細資訊,請參閱 活動篩選和查詢。
教育用戶保護敏感性檔案
建議您在使用者違反原則時教育使用者,讓他們瞭解如何符合貴組織的需求。
由於每個企業都有獨特的需求和原則,Defender for Cloud Apps 可讓您自定義原則的篩選條件,以及偵測到違規時向用戶顯示的訊息。
提供特定指引給使用者,例如提供如何適當地為檔案加上標籤的指示,或如何註冊非受控裝置以確保檔案成功上傳。
例如,如果用戶上傳沒有敏感度卷標的檔案,請設定要顯示的訊息,說明檔案包含敏感性內容,而且需要適當的標籤。 同樣地,如果用戶嘗試從 Unmanaged 裝置上傳檔,請設定要顯示的訊息,其中包含如何註冊該裝置的指示,或提供裝置註冊原因進一步說明的訊息。
會話原則中的訪問控制
許多選擇使用雲端應用程式會話控件來控制會話內活動的組織,也會套用訪問控制來封鎖同一組內建的行動和桌面用戶端應用程式,進而為應用程式提供全面的安全性。
將 [ 用戶端應用程式 ] 篩選設定為 [行動和桌面],以封鎖對具有存取原則的內建行動 和桌面用戶端應用程式的存取。 某些內建用戶端應用程式可以個別辨識,而屬於一組應用程式的其他應用程式則只能識別為其最上層應用程式。 例如,SharePoint Online 之類的應用程式只能藉由建立套用至 Microsoft 365 應用程式的存取原則來辨識。
注意事項
除非 用戶端應用程式 篩選器特別設定為 行動和桌面,否則產生的存取原則只會套用至瀏覽器會話。 這是為了防止不小心 Proxy 處理用戶會話。
雖然大部分的主要瀏覽器都支援執行用戶端憑證檢查,但某些行動和傳統型應用程式會使用可能不支援這項檢查的內建瀏覽器。 因此,使用此篩選可能會影響這些應用程式的驗證。
原則之間的衝突
當兩個會話原則之間發生衝突時,會取得更嚴格的原則。
例如:
- 如果用戶會話符合同時封鎖下載的原則
- 以及在下載時標記檔案或稽核下載位置的原則
- 檔案下載選項會遭到封鎖,以符合更嚴格的原則。
相關內容
如需詳細資訊,請參閱:
如果您遇到任何問題,我們在這裡提供協助。 若要取得產品問題的協助或支援,請 開啟支援票證。